Comment configurer et gérer l'accès intercompte aux ressources Amazon Route 53 ?

Résolution

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'AWS CLI.

Pour configurer l'accès intercompte, créez un compte DNS central et au moins un compte membre. Le compte DNS central héberge votre configuration Amazon Route 53 principale, gère les zones hébergées privées et contrôle les points de terminaison de Route 53 Resolver. Les comptes membres contiennent des ressources qui requièrent l'accès aux services DNS depuis le compte central. Par exemple, une ressource d'un compte membre peut nécessiter une résolution DNS pour les enregistrements d'une zone hébergée privée sur un compte central.

Configurer les comptes

Effectuez les étapes suivantes dans les comptes central et membre pour configurer le réacheminement :

1. Dans le compte central, exécutez la commande create-hosted-zone suivante pour créer une zone hébergée privée contenant des enregistrements :

   aws route53 create-hosted-zone \  
     --name example.internal \  
     --vpc VPCRegion=us-east-1,VPCId=vpc-xxxxx \  
     --caller-reference $(date +%s)

   Remarque : Remplacez example.internal par le nom de votre zone hébergée et vpc-xxxxx par l’ID du VPC.
2. Dans le compte central, exécutez la commande create-resolver-endpoint suivante pour créer un point de terminaison entrant :

   aws route53resolver create-resolver-endpoint \  
     --creator-request-id inbound-endpoint \  
     --direction INBOUND \  
     --ip-addresses \  
        SubnetId=subnet-xxxxx,Ip=10.0.0.10 \  
        SubnetId=subnet-yyyyy,Ip=10.0.1.10 \  
     --security-group-ids sg-xxxxx

   Remarque : Remplacez subnet-xxxxx et subnet-yyyyy par vos ID de sous-réseau, 10.0.0.10 et 10.0.1.10 par vos adresses IP et sg-xxxxx par l’ID du groupe de sécurité.
3. Dans le compte membre, exécutez la commande create-resolver-endpoint suivante pour créer un point de terminaison sortant :

   aws route53resolver create-resolver-endpoint \  
     --creator-request-id outbound-endpoint \  
     --direction OUTBOUND \  
     --ip-addresses \  
        SubnetId=subnet-xxxxx \  
        SubnetId=subnet-yyyyy \  
     --security-group-ids sg-yyyyy

   Remarque : Remplacez subnet-xxxxx et subnet-yyyyy par vos ID de sous-réseau et sg-xxxxx par l’ID du groupe de sécurité.
4. Dans le compte membre, exécutez la commande create-resolver-rule suivante pour créer une règle de résolveur sortante :

   aws route53resolver create-resolver-rule \  
     --creator-request-id rule1 \  
     --domain-name example.internal \  
     --rule-type FORWARD \  
     --resolver-endpoint-id rslvr-endpoint-id \  
     --target-ips Ip=10.0.0.10

   Remarque : Remplacez rule1 par le nom de votre règle, example.internal par le nom de votre zone hébergée, rslvr-endpoint-id par l’ID de votre point de terminaison de résolveur et 10.0.0.10 par votre adresse IP.

Utiliser un profil Amazon Route 53 pour partager des ressources

Vous pouvez également utiliser un profil Amazon Route 53 pour partager votre zone hébergée privée ou les règles de résolveur sortantes.

Procédez comme suit :

1. Créez un profil Route 53 dans le compte central.
2. Associez votre zone hébergée privée ou votre règle de résolveur à votre profil Route 53.
3. Utilisez AWS Resource Access Manager (AWS RAM) pour partager le profil Route 53 avec votre compte membre.
4. Associez votre Amazon VPC au profil Route 53 qui se trouve dans votre compte membre.

Utiliser Amazon VPC pour partager des ressources

Vous pouvez autoriser les ressources Amazon Virtual Private Cloud (Amazon VPC) d'un compte membre à accéder aux enregistrements de zone hébergée privée de votre compte central.

Procédez comme suit :

1. Créez une zone hébergée privée dans le compte central.
2. Associez la zone hébergée privée à un Amazon VPC dans le compte membre.

Utiliser AWS RAM pour partager les règles de résolveur et les ressources AWS

Vous pouvez utiliser AWS RAM pour partager les règles de résolveur et les ressources AWS depuis votre compte central.

Vous pouvez également partager les règles de résolveur entre plusieurs comptes qui font partie d'AWS Organizations ou d'une unité organisationnelle (UO). Au lieu d'énumérer chaque compte, utilisez AWS RAM pour partager une règle de résolveur sortante avec AWS Organizations.

Procédez comme suit dans votre compte central :

1. Exécutez la commande enable-sharing-with-aws-organization suivante pour configurer AWS RAM :

   aws ram enable-sharing-with-aws-organization

2. Exécutez la commande create-resource-share suivante pour créer un partage de ressources pour votre règle de résolveur :

   aws ram create-resource-share \  
     --name "dns-share" \  
     --resource-arns arn:aws:route53resolver:region:account-id:resolver-rule/resolver-rule  
     --principals arn:aws:organizations::account-id:organization/o-xxxxxxxxxx

   Remarque : Remplacez dns-share par le nom de votre partage de ressources, region par votre région, account-id par votre ID de compte, resolver-rule par votre règle de résolveur et o-xxxxxxxxxx par votre organisation.

Associer une règle de résolveur sortante à un VPC dans votre compte membre

Procédez comme suit :

1. Ouvrez la console Route 53.
2. Dans le volet de navigation, sélectionnez Règles.
3. Choisissez la région AWS dans laquelle vous avez créé la règle.
4. Sélectionnez la règle que vous souhaitez associer à un VPC.
5. Choisissez Associer un VPC.
6. Sous VPC qui utilisent cette règle, sélectionnez le VPC.
7. Sélectionnez Ajouter.